WhatsApp schließt zwei Schwachstellen: Dateimanipulation unter Windows und URL-Schema-Missbrauch

Zusammenfassung

Der Meta-Konzern hat zwei neue Sicherheitshinweise zu WhatsApp veröffentlicht, in denen zwei Schwachstellen beschrieben werden, die bereits Anfang dieses Jahres im Messenger behoben wurden. Beide Lücken sind als „mittlere Schwere" eingestuft und wurden über das Bug-Bounty-Programm von Meta gemeldet. Die erste Schwachstelle, CVE-2026-23863, betrifft WhatsApp für Windows in Versionen vor 2.3000.1032164386.258709 und erlaubte das Verschleiern von Dateianhängen: Ein Angreifer konnte ein präpariertes Dokument so formatieren, dass es beim Empfänger harmlos erschien, beim Öffnen aber als ausführbare Datei lief. Die zweite Schwachstelle, CVE-2026-23866, betrifft WhatsApp für iOS und Android und beruht auf einer unvollständigen Prüfung bestimmter Nachrichteninhalte. Laut WhatsApp wurden beide Lücken von ungenannten Sicherheitsforschern verantwortungsvoll über das Bug-Bounty-Programm offengelegt. Das Unternehmen erklärte, es gebe keine Hinweise auf eine Ausnutzung in freier Wildbahn. Die Sicherheitshinweise dokumentieren damit zwei Schwachstellen, die WhatsApp nach eigenen Angaben bereits mit Updates aus diesem Jahr geschlossen hat, bevor sie nun öffentlich beschrieben wurden.

Die erste der beiden Schwachstellen, CVE-2026-23863, betrifft ausschließlich WhatsApp für Windows in Versionen vor 2.3000.1032164386.258709. Laut dem Sicherheitshinweis von WhatsApp konnte ein Angreifer ein bösartig formatiertes Dokument erstellen, in dessen Dateinamen sogenannte NUL-Bytes eingebettet waren.

Wurde ein solches Dokument als Anhang verschickt, sah der Empfänger eine scheinbar harmlose Datei. Beim Öffnen wurde sie jedoch als ausführbares Programm gestartet. WhatsApp stuft diese Lücke als von mittlerer Schwere ein.

Die zweite Schwachstelle, CVE-2026-23866, trägt ebenfalls die Bewertung „mittlere Schwere". Sie betrifft WhatsApp für iOS in den Versionen 2.25.8.0 bis 2.26.15.72 sowie WhatsApp für Android in den Versionen 2.25.8.0 bis 2.26.7.10.

Nach Angaben von WhatsApp führte eine unvollständige Validierung von KI-gestützten Antwortnachrichten für Instagram Reels zu dem Problem. Dadurch hätte ein Angreifer die Verarbeitung von Medieninhalten von einer beliebigen URL auf dem Gerät eines anderen Nutzers auslösen können, einschließlich des Aufrufs von vom Betriebssystem kontrollierten Handlern für benutzerdefinierte URL-Schemata.

Weitere Details nannte WhatsApp nicht. In realen Angriffsszenarien können derartige Schwachstellen bei benutzerdefinierten URL-Schemata es Angreifern jedoch ermöglichen, Nutzer auf Phishing-Seiten umzuleiten oder über Schemata wie facetime:, tel:, itms-apps: oder eigene App-Deeplinks weitere Apps und Dienste auf dem Gerät zu starten.

WhatsApp erklärte, beide Schwachstellen seien von ungenannten Forschern verantwortungsvoll über das Bug-Bounty-Programm von Meta offengelegt worden. Für eine Ausnutzung in freier Wildbahn gebe es nach Unternehmensangaben keine Hinweise.

WhatsApp schließt zwei Schwachstellen: Dateimanipulation unter Windows und URL-Schema-Missbrauch

Ähnliche Artikel

Neueste Artikel